信息系統(tǒng)等級保護(hù)自動(dòng)化測試與加固技術(shù)實(shí)現(xiàn)

信息系統(tǒng)等級保護(hù)自動(dòng)化測試與加固技術(shù)實(shí)現(xiàn)第一頁，共38頁。WHOAMI劉志樂（Tony）OWASP中國區(qū)委員OWASP中國杭州分會(huì)區(qū)域負(fù)責(zé)人安恒安全服務(wù)部總監(jiān)2011年中國計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)演講嘉賓2011年OWASP亞洲峰會(huì)演講嘉賓ISF2011上海演講嘉賓2012年OWASPAppSecAsia悉尼峰會(huì)演講嘉賓2012年第四屆中國云計(jì)算大會(huì)演講嘉賓

2012年計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)演講嘉賓第二頁，共38頁。提綱應(yīng)用安全漏洞自動(dòng)化測試技術(shù)等級保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)等級保護(hù)整改加固技術(shù)第三頁，共38頁。應(yīng)用安全漏洞自動(dòng)化測試技術(shù)基于白盒的代碼審計(jì)基于黑盒的QA安全測試基于灰盒的QA安全測試自動(dòng)化WEB安全掃描第四頁，共38頁。自動(dòng)化源代碼分析全自動(dòng)評估程序代碼功能分析所有可能出錯(cuò)的輸入點(diǎn)開發(fā)中立即指出程序弱點(diǎn)所在開發(fā)中立即提出可行的安全程序建議方案快速、有效率且無副作用的安全程序設(shè)計(jì)…$var=$_GET[“input”];……$db->exec(“select*from“.$var);…第五頁，共38頁。自動(dòng)化源代碼分析第六頁，共38頁。應(yīng)用安全漏洞自動(dòng)化測試技術(shù)基于白盒的代碼審計(jì)基于黑盒的QA安全測試基于灰盒的QA安全測試自動(dòng)化WEB安全掃描第七頁，共38頁。基于黑盒的QA安全測試黑盒QA安全測試工作原理通過fuzzing的方式對目標(biāo)進(jìn)行測試通過返回?cái)?shù)據(jù)判斷安全漏洞是否存在第八頁，共38頁?；诤诤械腝A安全測試工作方式使用瀏覽器插件獲取基礎(chǔ)數(shù)據(jù)使用http代理獲取基礎(chǔ)數(shù)據(jù)瀏覽器插件http代理測試數(shù)據(jù)測試服務(wù)器第九頁，共38頁?；诤诤械腝A安全測試多測試人員協(xié)同測試第十頁，共38頁?；诤诤械腝A安全測試多測試人員協(xié)同測試不同人員分模塊進(jìn)行測試業(yè)務(wù)測試人員也可進(jìn)行安全測試安全測試人員負(fù)責(zé)對所有結(jié)果的集中審計(jì)可大大降低安全測試人員的投入第十一頁，共38頁。基于黑盒的QA安全測試檢測弱點(diǎn)及功能基本描述XSS跨站攻擊檢測SQL注入檢測CSRF檢測FORM檢測；（表單逃逸檢測）FORM弱口令檢測網(wǎng)頁木馬（惡意代碼）檢測數(shù)據(jù)竊取檢測中間人攻擊檢測oracle密碼爆力破解WebServiceXpath注入檢測Web2.0AJAX注入檢測Cookies注入檢測雜項(xiàng)：其他各類CGI弱點(diǎn)檢測，如：命令注入檢測、LDAP注入檢測、CFS跨域攻擊檢測、敏感文件檢測、目錄遍歷檢測、遠(yuǎn)程文件包含檢測、應(yīng)用層拒絕服務(wù)檢測等等第十二頁，共38頁?；诤诤械腝A安全測試基于黑盒的QA安全測試優(yōu)勢可以協(xié)助測試人員快速進(jìn)行安全測試減少安全測試人員的投入有效規(guī)避在代碼開發(fā)階段模塊測試時(shí)的多人協(xié)作問題通過代理或插件的方式，可以防止由于復(fù)雜業(yè)務(wù)邏輯導(dǎo)致的操作順序問題第十三頁，共38頁。應(yīng)用安全漏洞自動(dòng)化測試技術(shù)基于白盒的代碼審計(jì)基于黑盒的QA安全測試基于灰盒的QA安全測試自動(dòng)化WEB安全掃描第十四頁，共38頁。基于灰盒安全測試第十五頁，共38頁?；诨液邪踩珳y試QA灰盒測試通過修改ByteCode劫持關(guān)鍵的函數(shù)

在對常規(guī)功能進(jìn)行測試時(shí)，無需測試人員輸入任何帶攻擊性的測試數(shù)據(jù)。用類似fuzzing的測試，能有效的找出程序中的漏洞點(diǎn)。第十六頁，共38頁?；诨液邪踩珳y試QA灰盒測試特點(diǎn)更深層次的WEB安全漏洞檢測，如：存儲型跨站、沒有回顯的注入、異常的文件操作等。不干擾正常的業(yè)務(wù)操作。第十七頁，共38頁。應(yīng)用安全漏洞自動(dòng)化測試技術(shù)基于白盒的代碼審計(jì)基于黑盒的QA安全測試基于灰盒的QA安全測試自動(dòng)化WEB安全掃描第十八頁，共38頁。自動(dòng)化WEB安全掃描自動(dòng)化掃描在應(yīng)用程序完成發(fā)布后，需要進(jìn)行完整的自動(dòng)化應(yīng)用安全掃描測試完整的自動(dòng)化掃描測試可以有效快速的發(fā)現(xiàn)應(yīng)用程序的安全問題。第十九頁，共38頁。技術(shù)實(shí)現(xiàn)方式第二十頁，共38頁。主動(dòng)掃描技術(shù)和Proxy掃描技術(shù)的雙支持主動(dòng)掃描被動(dòng)掃描弱點(diǎn)掃描方式第二十一頁，共38頁。提綱應(yīng)用安全漏洞自動(dòng)化測試技術(shù)等級保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)等級保護(hù)整改加固技術(shù)第二十二頁，共38頁。等級保護(hù)的工作流程第二十三頁，共38頁。等級保護(hù)監(jiān)管單位遇到的問題1.缺乏對第三方測評機(jī)構(gòu)出具的測評結(jié)果進(jìn)行校驗(yàn)2.公安民警自身水平有限3.缺乏統(tǒng)一的工具對其信息系統(tǒng)開展日常檢查工作4.缺乏自動(dòng)化、集中化的工具對其進(jìn)行檢查、管理5.信息系統(tǒng)開展檢查所用時(shí)間較長、且效率較低通過實(shí)際走訪溝通目前主要表現(xiàn)如下特點(diǎn)：第二十四頁，共38頁。等級保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)為了提升公安民警日常開展等級保護(hù)檢查工作中的效率，急需一款專業(yè)的自動(dòng)化輔助檢查工具來應(yīng)對日常開展等級保護(hù)檢查工作所面臨的諸多問題。

等級保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)需充分密切結(jié)合信息安全等級保護(hù)政策，為測評、整改、檢查各環(huán)節(jié)過程中提供專業(yè)、標(biāo)準(zhǔn)化的檢查依據(jù)。第二十五頁，共38頁。等級保護(hù)技術(shù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)通過對應(yīng)用系統(tǒng)進(jìn)行檢查，能夠發(fā)現(xiàn)應(yīng)用系統(tǒng)是否存在弱口令、SQL注入、XSS跨站腳本攻擊、目錄遍歷等安全漏洞，能夠覆蓋、關(guān)聯(lián)到應(yīng)用系統(tǒng)身份鑒別、訪問控制、軟件容錯(cuò)等檢查項(xiàng)通過系統(tǒng)漏洞檢查對信息系統(tǒng)主機(jī)、網(wǎng)絡(luò)、安全設(shè)備進(jìn)行漏洞掃描，從而了解系統(tǒng)所存在的弱口令、安全漏洞，能夠覆蓋、關(guān)聯(lián)到基本要求中主機(jī)安全、網(wǎng)絡(luò)安全的身份鑒別、入侵防范等檢查項(xiàng)通過數(shù)據(jù)庫安全檢查對數(shù)據(jù)庫系統(tǒng)進(jìn)行掃描，可以了解系統(tǒng)中賬戶和口令安全策略、補(bǔ)丁升級、及賬戶權(quán)限分配情況、以及安全審計(jì)等狀態(tài)情況，能夠覆蓋、關(guān)聯(lián)到身份鑒別、訪問控制、安全審計(jì)、入侵防范、資源控制項(xiàng)第二十六頁，共38頁。等級保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)第二十七頁，共38頁。等級保護(hù)管理問卷檢查工作自動(dòng)化現(xiàn)實(shí)技術(shù)由于等級保護(hù)政策涉及層面較多，僅通過技術(shù)檢查工具無法滿足覆蓋技術(shù)檢查和管理安全以及物理安全檢查的全部檢查項(xiàng)。

管理問卷是充分考慮到上述問題因素，將技術(shù)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)庫安全、應(yīng)用安全、數(shù)據(jù)安全及備份和管理安全充分結(jié)合，形成了民警以訪談的形式進(jìn)行數(shù)據(jù)錄入，從而解決了技術(shù)檢查工具無法覆蓋到管理、物理層層面開展同步檢查工作的問題，真正實(shí)現(xiàn)了將技術(shù)和管理進(jìn)行無縫整合。第二十八頁，共38頁。等級保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)針對檢查項(xiàng)，提供了豐富的檢查方法，供檢查人員參考檢查方法預(yù)期結(jié)果整改建議第二十九頁，共38頁。等級保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)示例講解：一、身份鑒別（S3）：b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；c)應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；f)應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別。一、檢查方法：1.可通過主機(jī)配置檢查工具檢查其賬戶是否設(shè)置了口令最小長度、口令復(fù)雜度、以及登錄失敗鎖定次數(shù)2.可通過基于口令破解工具以遠(yuǎn)程非授權(quán)方式對其目標(biāo)主機(jī)賬戶口令進(jìn)行驗(yàn)證，如檢查過程中發(fā)現(xiàn)存在弱口令，則表明目標(biāo)主機(jī)未采用雙因子認(rèn)證技術(shù)。3.以訪談的形式了解當(dāng)前主機(jī)賬戶、口令策略情況，查看目標(biāo)主機(jī)上策略實(shí)際情況。結(jié)合了技術(shù)與管理方法，解決了僅依賴技術(shù)無法完成一次完整的安全檢查的問題。第三十頁，共38頁。

等級保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)---報(bào)告輸出第三十一頁，共38頁。

等級保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)---報(bào)告輸出第三十二頁，共38頁。提綱應(yīng)用安全漏洞自動(dòng)化測試技術(shù)等級保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)等級保護(hù)整改加固技術(shù)第三十三頁，共38頁。嚴(yán)格遵循國家在等級保護(hù)方面的有關(guān)政策、技術(shù)標(biāo)準(zhǔn)；整改方案必須要完整、有效、具有可操作性；自主定級、自主保護(hù)：建設(shè)滿足自身實(shí)際安全需求的等級保護(hù)安全體系；整體規(guī)劃，分步實(shí)施；對業(yè)務(wù)應(yīng)用影響最??；重點(diǎn)保護(hù)，適度安全；等級保護(hù)整改方案設(shè)計(jì)原則第三十四頁，共38頁。

1.政策和技術(shù)標(biāo)準(zhǔn)

2.整改需求分析

3.方案總體設(shè)計(jì)

4.方案詳細(xì)設(shè)計(jì)

5.設(shè)備選型

6.安全性分析

7.工程實(shí)施設(shè)計(jì)《基本要求》為建設(shè)目標(biāo)《設(shè)計(jì)要求》一個(gè)中心三重防護(hù)基本技術(shù)要求、基本管理要求方案與相關(guān)技術(shù)標(biāo)準(zhǔn)符合性等級保護(hù)整改方案主